Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Bahamut despliega falsas aplicaciones VPN para robar datos de los usuarios
Obanla Opeyemi
9 de diciembre de 2022 - Equipo de expertos TuxCare
Investigadores de ESET descubrieron una campaña en curso del grupo Bahamut APT, un notorio grupo de cibermercenarios que ha estado activo desde 2016, que se dirige a usuarios de Android con aplicaciones VPN falsas e inyecta malware para robar credenciales de usuario.
Esta campaña lleva en marcha desde enero de 2022 y ha estado distribuyendo apps VPN falsas de SoftVPN, SecureVPN y OpenVPN que se camuflan como las originales a través de un sitio web falso de SecureVPN que solo ofrece apps de Android para descargar. Las aplicaciones falsas no tienen conexión con las legítimas, con ninguna de las originales, y no están disponibles en Google Play.
Según la investigación, Bahamut insertó código malicioso en dos aplicaciones VPN legítimas diferentes: SoftVPN y OpenVPN. Antes de habilitar las funciones de VPN y spyware, Fake SecureVPN solicita una clave de activación, lo que impide que los sandboxes de análisis dinámico de malware la marquen como aplicación maliciosa.
Cabe señalar que hay ocho versiones de estas apps maliciosamente parcheadas disponibles a través del sitio web de distribución, con cambios y actualizaciones de código. El objetivo principal de las modificaciones de las apps es extraer datos sensibles de los usuarios y espiar activamente las apps de mensajería de las víctimas.
Según los informes, Bahamut selecciona cuidadosamente sus objetivos, en particular entidades y particulares de Oriente Próximo y el sur de Asia, ya que la app exige a la víctima que introduzca una clave de activación para habilitar las funciones mediante un vector de distribución, tras lo cual ataca con mensajes de spear phishing y apps falsas. A continuación, distribuye la aplicación Android maliciosa a través del sitio web thesecurevpn[.]com, que utiliza el nombre pero no el contenido ni el estilo del servicio SecureVPN legítimo (en el dominio securevpn.com).
Este sitio web falso de SecureVPN se creó utilizando una plantilla web gratuita, que probablemente sirvió de inspiración al autor de la amenaza, ya que sólo requería cambios menores y parecía fiable.
Tras su distribución, la aplicación falsa solicita una clave de activación antes de habilitar las funciones de VPN y spyware. La clave y la URL se envían a los usuarios objetivo, lo que permite a los hackers controlar de forma remota el spyware e infiltrarse/cosechar datos confidenciales del usuario, como registros de llamadas, mensajes SMS, ubicación del dispositivo, datos de WhatsApp, Telegram y Signal, etc., sin el conocimiento de la víctima.
Las fuentes de este artículo incluyen un artículo en Hackread.
